I ricercatori di Synopsys hanno scelto la conferenza Blackhat Europe per svelare i dettagli di un nuovo attacco contro BitLocker , sistema di protezione crittografica capace di cifrare l’intero disco (Full Disk Encryption o FDE) ma a quanto pare vulnerabile a un attacco relativamente semplice da condurre. E potenzialmente in grado di violare i segreti dei laptop aziendali.
L’attacco è in grado di bypassare la cifratura FDE di BitLocker sulle versioni professionali ed enterprise delle versioni più recenti di Windows, e per poter funzionare necessita di due condizioni preesistenti sul sistema: la funzionalità BitLocker è abilitata senza l’autenticazione pre-boot, e la macchina bersaglio è stata aggiunta a un dominio su cui un utente autorizzato si è già autenticato in precedenza.
Una volta sottratto il laptop da compromettere, spiegano i ricercatori, è possibile collegarlo a un dominio di rete contraffatto contenente lo stesso nome utente di quello dell’account precedentemente autenticato sul laptop; l’account fasullo deve avere una data di creazione già passata, e al momento del collegamento BitLocker chiederà di cancellare la vecchia password per crearne una nuova .
A questo punto il laptop potrà essere disconnesso dal network malevolo e si potrà accedere al PC grazie alle nuove credenziali di autenticazione salvate nella cache locale. Nemmeno l’utilizzo di un chip TPM (Trusted Platform Module) è sufficiente a proteggere il PC, sostengono ancora i ricercatori.
Fortunatamente per gli amministratori di sistema e le aziende che usano BitLocker senza l’autenticazione pre-boot, in ogni caso, Microsoft ha già rilasciato un bollettino di sicurezza classificato come “importante” (MS15-122) all’interno dell’ ultimo pacchetto di patch mensili per Windows, IE, Edge e tutto quanto.
Alfonso Maruccia